Sophos Firewall DHCP-opties (SFOS)
DHCP-opties zijn nodig op de Sophos Firewall wanneer clients bij het opstarten meer moeten ontvangen dan alleen een IP-adres, gateway en DNS. Typische gevallen zijn PXE, WDS, Thin Clients, VoIP-telefoons of oudere RED-omgevingen, waarbij een specifieke optiecode en gegevenstype exact moeten passen.
Recente versies van Sophos Firewall ondersteunen DHCP-opties direct in WebAdmin. Voor de meeste omgevingen is daarom geen SSH- of CLI-configuratie meer nodig. De CLI-voorbeelden blijven echter belangrijk, omdat oudere runbooks, speciale gevallen en probleemoplossing vaak nog precies deze syntaxis gebruiken.
Wat DHCP-opties zijn
DHCP distribueert niet alleen een IP-adres. Samen met de lease kan de DHCP-server extra informatie aan de client doorgeven. Daarvoor zijn DHCP-opties bedoeld. Typische voorbeelden zijn DNS-servers, gateway, TFTP-server, bootfile-naam, vendor-specifieke parameters of waarden voor Thin Clients en telefoons.
Op de Sophos Firewall behoren DHCP-opties altijd tot de DHCP-server of de scope die de lease uitgeeft. Dit is belangrijk: als een client zijn adres van een andere DHCP-server ontvangt, moet de optie daar worden geconfigureerd. Als de Sophos Firewall alleen als DHCP Relay fungeert, stuurt deze DHCP-verzoeken door, maar is het niet de plek waar de optie voor deze scope wordt beheerd.
Voor IPv6 moet DHCP niet altijd op dezelfde manier worden behandeld als bij IPv4. Wanneer een provider een IPv6-prefix delegeert, horen Router Advertisement, DHCPv6-parameters en firewallregels bij elkaar. De procedure is beschreven in IPv6 Prefix Delegation op Sophos Firewall configureren.
In de praktijk moet men voor de configuratie drie dingen verduidelijken:
- Welke DHCP-server verdeelt de lease daadwerkelijk?
- In welke scope of op welke interface bevindt zich de client?
- Welke optiecodes, gegevenstypen en waarden vereist de fabrikant van het doelsysteem?
Vereisten
- Sophos Firewall met geactiveerde DHCPv4-server
- Toegang tot
Network > DHCP - Een DHCP-scope op de juiste interface
- De benodigde DHCP-optiecodes en waarden van de fabrikant of het doelsysteem
- Voor CLI-fallbacks: toegestane SSH-toegang tot de Sophos Firewall
Voor de wijziging moet men de betreffende scope kort controleren. DHCP-opties werken alleen betrouwbaar als ze op de juiste DHCP-server, in het juiste netwerk en met het juiste gegevenstype zijn ingesteld.
- DHCP-server: De Sophos Firewall moet de lease zelf uitgeven. Bij DHCP Relay horen de opties normaal gesproken op de centrale DHCP-server.
- Scope en interface: Een client in het verkeerde VLAN of op een andere interface ziet de optie niet, zelfs als deze correct is opgeslagen.
- Optiecode en gegevenstype: Veel fouten ontstaan omdat een client
string,ipaddress,array-ofof een vendor-waarde anders verwacht dan ingevoerd. - Testclient: Een bekend apparaat in het betreffende netwerk maakt zichtbaar of de optie echt in het DHCP-aanbod of ACK aankomt.
- Wijzigingsvenster: PXE, telefoons en Thin Clients kunnen direct worden beïnvloed bij het wisselen van de lease. Wijzigingen moeten daarom gecontroleerd worden getest.
Als de optie relevant is voor productieve apparaten, moet van tevoren duidelijk zijn hoe men deze weer verwijdert of terugzet naar de oude waarde. Dit geldt vooral voor boot-opties, provisioning-servers en fabrikantspecifieke vendor-opties.
1. DHCP-server maken of controleren
Om DHCP-opties te kunnen distribueren, heeft men eerst een DHCPv4-server op de Sophos Firewall nodig. Deze wordt in WebAdmin onder Network > DHCP aangemaakt of bewerkt.
Belangrijk is vooral:
- De DHCP-server is aan een interface toegewezen.
- De scope past bij het netwerk waarin de clients zich bevinden.
- DNS-servers, gateway en lease-tijd zijn correct ingesteld.
- De DHCP-naam bevat geen onnodige spaties of speciale tekens.
- PXE-, VoIP-, Thin Client- of RED-bijzonderheden zijn vooraf gedocumenteerd.
Vooral de DHCP-naam is relevant bij CLI-commando’s. Als de naam spaties of speciale tekens bevat, worden latere commando’s en runbooks onnodig foutgevoelig. Begrijpelijke namen zoals DHCP_Server_Avanet_LAN, Home_Scope of DHCP_VoIP zijn in de praktijk eenvoudiger.

2. DHCP-opties in WebAdmin configureren
Zodra de DHCPv4-server is aangemaakt, kunnen de opties direct in hetzelfde dialoogvenster worden toegevoegd.
- Open
Network > DHCP. - Bewerk de bestaande DHCPv4-server of maak een nieuwe server aan.
- Ga naar het gedeelte
DHCP options. - Voeg een optie toe.
- Zet bij eigen opties
OptionsopCustomen voerCode,TypeenValuein. - Sla de wijzigingen op.
- Controleer met een testclient of de optie daadwerkelijk wordt overgenomen.
De velden betekenen:
OptionsofOption: Keuze tussen vooraf gedefinieerde DHCP-opties en eigen custom opties. BijCustom-opties wordt de optiecode handmatig ingevoerd.Code: Numerieke DHCP-optiecode, bijvoorbeeld66,67,161of een leveranciersspecifieke waarde.Type: Datatype van de waarde, bijvoorbeeldipaddress,string,boolean,one-byte,two-byte,four-byteofarray-of.Value: De concrete waarde die de client moet ontvangen, bijvoorbeeld een IP-adres, hostname, pad of poort.
De juiste waarden worden meestal geleverd door de fabrikant van het doelsysteem. Vooral bij stringwaarden, padvermeldingen of vendor-specifieke opties is een controle in de fabrikantdocumentatie de moeite waard. Een formeel opgeslagen waarde betekent nog niet automatisch dat de client deze ook zo interpreteert als verwacht.
3. Typische toepassingsgevallen
DHCP-opties zijn meestal nodig wanneer een client bij het opstarten extra informatie nodig heeft. Veelvoorkomende gevallen zijn PXE, WDS, Thin Clients, VoIP-telefoons, access points of enkele legacy-scenario’s.
PXE en WDS
Voor PXE- of WDS-omgevingen worden vaak de opties 66 en 67 gebruikt:
66verwijst naar de TFTP- of deployment-server.67bevat de bootfile-naam.
Als de client de server bereikt maar niet opstart, ligt het probleem vaak niet bij de firewall, maar aan een verkeerd bestandspad, een ongeschikt gegevenstype of een ongeschikt architectuurbestand. Bij UEFI- en BIOS-clients zijn vaak verschillende bootfiles nodig.
Belangrijk bij huidige SFOS-versies: Next-server en Boot file zijn aparte boot option-velden in de DHCPv4-server. Sinds SFOS 20.0 MR1 worden ze niet meer automatisch alleen als DHCP-opties 66 en 67 behandeld. Als een apparaat expliciet optie 66 of 67 verwacht, moeten deze waarden bewust onder DHCP options worden beheerd en niet alleen in de boot option-velden worden ingevuld.
Bij upgrades naar SFOS 20.0 MR1 of nieuwer blijven bestaande Next-server- en Boot file-waarden behouden als boot options en daarnaast als DHCP-opties 66 en 67. Na een migratie moet men daarom controleren of waarden dubbel aanwezig zijn en of de client de verwachte variant gebruikt.
Thin Clients
Thin Clients hebben afhankelijk van de fabrikant opties nodig voor managementservers, imageservers of verbindingsparameters. In oude runbooks vindt men daarvoor bijvoorbeeld:
161voor de server192voor een poort of extra parameters
Of deze codes correct zijn, hangt af van de fabrikant en het gebruikte Thin Client-model. Daarom moet men de codes niet blind overnemen, maar altijd controleren aan de hand van de fabrikantdocumentatie.
Oudere RED-bijzonderheden
In oudere omgevingen waren er gevallen waarin bij een Sophos RED 15w het geïntegreerde access point niet correct werd herkend. Daarvoor werd soms een fabrikantspecifieke DHCP-optie gebruikt, bijvoorbeeld met optiecode 234 en een waarde zoals 10.10.10.12.
Dit is geen algemene standaard voor moderne SD-RED-installaties. Als legacy-voorbeeld is het echter nog steeds nuttig, omdat het laat zien hoe eigen optiecodes worden gedefinieerd en aan een DHCP-server worden gekoppeld.
Voor actuele RED-ontwerpen is het artikel Sophos SD-RED instellen en problemen oplossen nuttiger. Als het gaat om interface-, VLAN-, bridge- of RED-ontwerpen, helpt daarnaast Sophos Firewall Zones en Interfaces plannen en configureren.
4. Wanneer DHCP Relay in plaats van DHCP Server relevant is
Sophos Firewall kan niet alleen zelf DHCP-server zijn, maar ook DHCP Relay gebruiken. Hierbij worden DHCP-verzoeken van clients doorgestuurd naar een DHCP-server in een ander netwerk.
Dit is vooral relevant wanneer IP-adressen centraal worden uitgegeven door een Windows-DHCP-server of een ander dedicated DHCP-systeem. In dergelijke ontwerpen worden DHCP-opties normaal gesproken op deze centrale DHCP-server beheerd, niet op de Sophos Firewall.
Bij de relay agent moet de geselecteerde interface zich in het subnet van de DHCP-clients bevinden. De interface van de eigenlijke DHCP-server mag niet als relay-interface worden gebruikt, anders stuurt de firewall de clientverzoeken niet zoals verwacht door.
In een relay agent kunnen tot acht DHCP-servers worden opgenomen. De firewall stuurt de clientaanvraag naar deze servers door, en de client werkt met de eerste offer die hij ontvangt. Daarom moeten meerdere relay-doelen dezelfde scope en dezelfde DHCP-opties consistent leveren.
Bij VPN-, XFRM-, RED- of buitenpostontwerpen moet men daarom eerst controleren:
- Moet de Sophos Firewall zelf leases uitdelen?
- Moet deze alleen DHCP-verzoeken doorsturen?
- Bevindt de client zich in een direct aangesloten netwerk?
- Zijn er meerdere DHCP-servers die per ongeluk op dezelfde client kunnen antwoorden?
Als de verkeerde DHCP-server antwoordt, helpt zelfs de meest correcte DHCP-optie op de Sophos Firewall niet.
Bij DHCP Relay via route-based VPN is nog iets belangrijk: de relay agent wordt op de clientlocatie geconfigureerd. Op de centrale locatie is een passende inkomende firewallregel voor DHCP-verkeer nodig, terwijl relayverkeer op de firewall van de vestiging als systeemgegenereerd verkeer wordt behandeld.
5. Wanneer de CLI nog zinvol is
Voor actuele standaardconfiguraties is WebAdmin meestal voldoende. De CLI is eerder nog zinvol wanneer:
- een oud artikel of ouder runbook al op CLI-commando’s is gebaseerd
- ongebruikelijke vendor-opties moeten worden getest
- men in een supportgeval precies wil zien welke bindings intern zijn opgeslagen
- een omgeving is overgenomen van een zeer oude SFOS-versie
- een commando in een documentatie moet worden nagebouwd of gecontroleerd
Wie deze weg moet gaan, moet eerst de handleiding SSH met de Sophos Firewall verbinden controleren. Na het inloggen wordt voor de volgende commando’s de 4. Device Console gebruikt.

CLI-basisprincipe: Optie definiëren en binden
Bij de CLI-configuratie zijn er twee stappen:
- De DHCP-optie wordt gedefinieerd.
- De optie wordt aan een DHCP-server gebonden en krijgt daar een waarde.
Eerst wordt de optie gedefinieerd:
system dhcp dhcp-options add optioncode optionname optiontype
De placeholders betekenen:
optioncode: numerieke DHCP-optiecodeoptionname: vrij gekozen naam van de optieoptiontype: gegevenstype, bijvoorbeeldipaddressofstring
Voorbeeld voor een IP-adres als DHCP-optie:
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
Daarna wordt de optie aan een DHCP-server gebonden:
system dhcp dhcp-options binding add dhcpname optionname(234) value
De placeholders betekenen:
dhcpname: naam van de DHCP-server uit de Sophos Firewall-configuratieoptionname(234): naam van de eerder gedefinieerde optie inclusief optiecode tussen haakjesvalue: waarde die aan clients moet worden gedistribueerd
Voorbeeld:
system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12
6. CLI-voorbeelden
De volgende voorbeelden zijn nog steeds nuttige sjablonen wanneer een optie via de Device Console moet worden ingesteld of een oud runbook moet worden nagevolgd. Deze commando’s zijn niet fout, ze zijn in huidige standaardomgevingen alleen niet meer de eerste keuze.
Thin Client Server
Met deze optie wordt aan een Thin Client meegedeeld op welke server het image of de managementcomponent zich bevindt:
system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'
Als er daarnaast een poort nodig is, kan deze als string worden ingesteld:
system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'
WDS en PXE
Een DHCP-optiewaarde voor de WDS- of TFTP-server kan zo worden ingesteld:
system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11
De bootfile-naam voor de pre-omgeving wordt als optie 67 meegegeven:
system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com
Met pre-omgeving wordt de bootomgeving bedoeld waarmee een client tijdens de installatie of herstel start. Afhankelijk van de omgeving kan het benodigde pad variëren, vooral bij UEFI, BIOS, 32-bit- en 64-bit-clients.
Bestaande opties weergeven
Voor wijzigingen moet men bestaande opties weergeven:
system dhcp dhcp-options list
De lijst is toch niet de volledige grens van wat SFOS ondersteunt. Sophos documenteert dat de firewall alle DHCP-optieobjecten van 1 tot 255 ondersteunt, terwijl de CLI-lijst alleen opties 1 tot 76 toont. Eigen of fabrikantspecifieke opties buiten deze weergave kunnen dus nog steeds geldig zijn.
Bindings van een DHCP-server weergeven:
system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN
Een optie kan indien nodig weer worden verwijderd:
system dhcp dhcp-options delete optionname dhcp_magic_ip(234)
7. Typische foutbronnen
Wanneer een DHCP-optie is opgeslagen maar niet zoals verwacht op de client werkt, ligt het vaak aan een van deze punten:
- Verkeerde DHCP-server reageert op het verzoek.
- Verkeerde scope of verkeerde interface is bewerkt.
- Gegevenstype komt niet overeen met de verwachte waarde.
- IP-adres, FQDN, poort of pad is verkeerd getypt.
- Bootfile-pad komt niet overeen met de clientarchitectuur.
- Client verwacht een string, maar de optie is als IP-adres ingesteld.
- Fabrikant gebruikt vendor-specifieke opties die extra parameters vereisen.
- Lease is na de wijziging niet vernieuwd.
- DHCP Relay wordt gebruikt, hoewel de optie op de Sophos Firewall is beheerd.
Na een wijziging moet men de lease op de testclient vernieuwen en controleren of de client de verwachte opties daadwerkelijk ontvangt. Als het gedrag nog steeds niet klopt, is een pakketopname vaak sneller dan lang raden: in de DHCP-pakketten ziet men welke server antwoordt en welke opties daadwerkelijk worden geleverd.
8. Wijziging testen
Na het opslaan van een DHCP-optie moet men niet alleen wachten tot de volgende client op een gegeven moment een nieuwe lease haalt. Beter is een gecontroleerde test met een bekend apparaat in het betreffende netwerk.
Zinvolle procedure:
- Sluit de testclient aan in het juiste VLAN of interface.
- Vernieuw de oude lease of start de client opnieuw op.
- Controleer welke DHCP-adres, gateway, DNS-server en extra opties zijn aangekomen.
- Test het doelsysteem, bijvoorbeeld PXE-boot, WDS-start, Thin Client-registratie of telefoonprovisioning.
- Controleer in WebAdmin of de lease in de verwachte DHCP-scope verschijnt.
- Als het resultaat niet klopt, controleer dan met Packet Capture welke DHCP-server antwoordt en welke opties in het aanbod of ACK zijn opgenomen.
Voor een nauwkeurige opname is meestal een filter op UDP 67 en 68 tussen client en DHCP-server voldoende. De bediening van het WebAdmin-hulpmiddel is beschreven in Sophos Firewall Packet Capture in WebAdmin gebruiken.
Bij PXE- en WDS-tests moet men daarnaast documenteren of de testclient BIOS of UEFI gebruikt. Veel opstartproblemen ontstaan niet door DHCP zelf, maar door een bootfile die niet bij de architectuur past.
9. Probleemoplossing op basis van symptomen
Wanneer DHCP-opties niet werken, helpt een symptoomgerichte controle vaak sneller dan het opnieuw aanmaken van dezelfde optie.
- Client ontvangt geen IP-adres: DHCP-server, VLAN, interface of relay klopt niet; Lease-lijst, interface, VLAN en DHCP-relay controleren
- Client ontvangt IP, maar geen optie: verkeerde scope of verkeerde DHCP-server reageert; Packet Capture op DHCP-aanbod/ACK controleren
- PXE vindt server, maar start niet op: Optie
67, bestandspad of architectuur klopt niet; BIOS/UEFI-bootfile en TFTP/WDS-log controleren - Thin Client verbindt niet: verkeerde optiecode, type of fabrikantwaarde; Fabrikantdocumentatie en geleverde waarde vergelijken
- Wijziging werkt pas later: Client gebruikt oude lease; Lease vernieuwen, client opnieuw opstarten of lease-tijd in acht nemen
- CLI-commando werkt niet: verkeerde DHCP-naam, optienaam of haakjesnotatie;
system dhcp dhcp-options listen binding-uitvoer controleren
Als in de opname een andere DHCP-server antwoordt, moet eerst het netwerkontwerp worden verduidelijkt. Twee DHCP-servers in hetzelfde broadcastdomein zijn een klassieke oorzaak voor wisselend gedrag. Bij complexere VLAN-, bridge- of interfacevragen helpt Sophos Firewall Zones en Interfaces plannen en configureren.
Veelgestelde vragen
Moet men DHCP-opties op de Sophos Firewall via CLI configureren?
Waarom komt een DHCP-optie niet aan bij de client?
Waar worden DHCP-opties geconfigureerd als Sophos Firewall alleen DHCP Relay gebruikt?
Welke DHCP-opties zijn nodig voor PXE of WDS?
66 voor de TFTP- of deployment-server en optie 67 voor de bootfile-naam gebruikt. De juiste waarde hangt echter af van WDS, TFTP, BIOS/UEFI en clientarchitectuur.